Auf Angriffsszenarien vorbereiten
Die Coronakrise rückt Cybercrime in den Fokus. Beim Thema Sicherheit gibt es Defizite sowohl bei Unternehmen als auch bei ihren Mitarbeitern.
Rückblick: Der Innviertler Flugzeugzulieferer FACC wurde zum Jahreswechsel 2015/2016 Opfer von Internetbetrügern. Sie hatten eine gefälschte E-Mail-Adresse des damaligen Vorstandschefs eingerichtet, woraufhin ein Mitarbeiter der Finanzbuchhaltung in Summe rund 50 Millionen Euro überwies. Ihm wurde vorgetäuscht, es handle sich um eine streng vertrauliche Transaktion für einen Firmenkauf. Das Vorgehen erfolgte nach dem klassischen Muster eines Fake President Fraud.
Das Seehotel Jägerwirt auf der Turracher Höhe wurde mehrfach das Ziel von Hackern. Beim dritten Mal legten diese mit einer Schadsoftware, sogenannter Ransomware, das Schlüssel-, Reservierungs- und Kassensystem lahm. Die einzige Möglichkeit, das System schnell wiederherzustellen, war die Bezahlung von Bitcoins in Höhe von rund 1500 Euro an die Erpresser im Darknet. Das sind nur zwei Beispiele, in denen Unternehmen durch Internetkriminalität geschädigt wurden.
Gegenwart: Cybercrime ist aufgrund Corona aktueller denn je. Wie Silvia Kahn, Leiterin des Büros für Presse und Öffentlichkeitsarbeit des Bundeskriminalamts, mitteilt, nahm die analoge Kriminalität von Mitte März bis Anfang Mai ab, gleichzeitig stieg die digitale Kriminalität an. Bei Cyberkriminaldelikten nahm etwa der Missbrauch von Computerprogrammen oder Zugangsdaten um 207 Prozent auf insgesamt 43 Anzeigen zu. Bei betrügerischem Datenverarbeitungsmissbrauch wurden 560 Delikte angezeigt, eine Steigerung um 97 Prozent.
2019 wurden österreichweit 28.439 Cybercrimedelikte angezeigt, 2018 waren es 19.627 – eine Zunahme um gut 45 Prozent. Allein im Bundesland Salzburg gab es 2019 280 Straftaten bei Cybercrime im engeren Sinn und 1481 Straftaten bei Cybercrime im weiteren Sinn. Cybercrime im engeren Sinn sind kriminelle Handlungen, bei denen Angriffe auf Daten oder Computersysteme unter Ausnutzung der Informations- und Kommunikationstechnik begangen werden. „Die Straftaten sind gegen die Netzwerke selbst oder aber gegen Geräte, Dienste oder Daten in diesen Netzwerken gerichtet, wie zum Beispiel Datenbeschädigung, Hacking oder
DDos-Angriffe“, heißt es in der Polizeilichen Kriminalstatistik 2019.
Bei Cybercrime im weiteren Sinn handelt es sich um Straftaten, bei denen die Informationsund Kommunikationstechnik als Tatmittel zur Planung, Vorbereitung und Ausführung von herkömmlichen Kriminaldelikten eingesetzt wird, wie etwa Betrugsdelikte.
Dass Internetkriminelle bei Unternehmen Erfolg haben, dazu tragen auch die Mitarbeiter teil. Der Verein fit4internet, initiiert vom Bundesministerium für Digitalisierung und Wirtschaftsstandort, unterstützt die Bürger dabei, mit dem raschen digitalen Wandel Schritt zu halten und auf Basis eines standardisierten Kompetenzmodells ihre Kompetenzprofile zum Aufbau digitaler Fähigkeiten für ihre persönliche und berufliche Entwicklung einzusetzen. In der Kategorie Alltagskompetenz wurden seit Mai 2019 rund 17.000 Checks durchgeführt. „Die Ergebnisse machen deutlich: Bei der Sicherheit sieht die Bevölkerung selbst das größte Defizit im Vergleich zu allen anderen digitalen Kompetenzbereichen. Bei den Privatsphäre-Einstellungen
bei sozialen Medien, beim Erstellen und Verwahren sicherer Passwörter oder dem Erkennen von Phishing-EMails erreichen rund 40 Prozent gerade die grundlegendste Kompetenzstufe nach eigener Einschätzung“, informiert Ulrike Domany-Funtan, Generalsekretärin des Vereins.
Jeder Check-Teilnehmer erhält ein individuelles Profil, auf dessen Basis er sieht, welche Kompetenzen er konkret noch benötigt. Auf der Kursdatenbank des Vereins können Trainer und Bildungsinstitute ihre Angebote listen, nachdem sie sie dem standardisierten Kompetenzmodell zugeordnet haben. Damit ist für alle Angebotsuchende ersichtlich, welcher Kurs ihnen welche digitalen Kompetenzbereiche und -stufen liefert.
Natürlich sind auch die Firmen selbst gefordert, wenn es um Internetsicherheit geht. „Österreichs Unternehmen und Institutionen sind 2020 besser auf Cyberkriminalität vorbereitet als in den Jahren davor. Dennoch gibt es Defizite, die sich durch vermehrte digitale Transformation und die Veränderung der Art und Weise, wie wir arbeiten – Homeoffice und Teleworking in der Coronakrise
–, noch augenscheinlicher und schneller zeigen. Vielfach wurden die Hausaufgaben nicht gemacht, fehlt es an Basisverständnis und natürlich auch an geschultem und erfahrenem Personal“, befindet Andreas Köberl, Geschäftsführer der TÜV Trust IT TÜV Austria GmbH und der SPP-Handelsgesellschaft.
Die Mitarbeiter auf allen Ebenen eines Unternehmens müssten laufend geschult und auf verschiedene Angriffsszenarien vorbereitet werden. Köberl kritisiert in diesem Zusammenhang einen teilweise „sehr lässigen Umgang der Unternehmensverantwortlichen. Darüber hinaus sehe ich Defizite bei der raschen und möglichst nachhaltigen Umsetzung von Maßnahmen, nachdem Sicherheitslücken erkannt wurden. Oftmals sind entsprechende Security Software Tools oder Apps im Einsatz, allerdings werden Behebungsmaßnahmen nicht rasch genug implementiert. Hier fehlt es an entsprechendem IT-Personal beziehungsweise will man den laufenden Betrieb nicht beeinträchtigen.“
Ein Unternehmen, das dem Thema Cybersecurity und der Schulung seiner Mitarbeiter seit längerer Zeit große Aufmerksamkeit schenkt, ist das börsenotierte Verpackungsund Papierunternehmen Mondi mit Sitzen in Wien, London und Johannesburg. Die ersten Cybersecurity-E-Learning-Formate für die Mitarbeiter starteten vor fünf Jahren. Heuer wurde anlässlich eines eigenen Themenschwerpunkts Cybersecurity diese Schulungsplattform modernisiert und mit einer internen Kommunikationskampagne begleitet. Außerdem kann durch die Kooperation mit fit4internet auf zusätzliche Expertise und Erfahrung zurückgegriffen werden. „Wir setzen nicht auf verpflichtende Schulungen, sondern auf Aufklärung und Information. Die Schulungen werden sehr gut angenommen. Führungskräfte absolvieren zudem regelmäßig einen Cybersecuritytest. Und wir arbeiten mit Simulationstrainings, etwa einer gestellten Phishing Attack. Damit können wir sehr gut evaluieren, wo Schulungsbedarf besteht, und gezielt einzelne Lernmodule anbieten“, erklärt MondiCIO Rainer Steffl. Er betont, dass Cybersecurity ein Thema sei, das alle im Unternehmen angehe. Eine intensive abteilungsübergreifende Zusammenarbeit etwa zwischen IT, Human Resources und Kommunikation soll Bewusstsein schaffen, sensibilisieren und sicherstellen, auch technisch auf dem letzten Stand zu sein. Wegen Corona war ein Großteil der Mondi-Mitarbeiter im Homeoffice. „Wir haben ein spezielles Covid-19Modul in der E-Learning-Plattform angeboten, was auch sehr gut angenommen wurde. Zusätzlich gab es umfangreiche Informationen zum Thema Sicherheitsstandards im Homeoffice, wie etwa der Hinweis, ausschließlich firmeneigene Geräte einzusetzen oder auf sicheren Passwort-Schutz zu achten“, informiert Steffl.
Ausblick: In der Akutphase der Coronakrise ging es laut Andreas Köberl, Geschäftsführer von TÜV Trust IT, in erster Linie darum, möglichst vielen Menschen das Arbeiten von daheim aus zu ermöglichen, Hardware und Internetverbindungen zur Verfügung zu stellen sowie den möglichst abgesicherten Zugriff auf Unternehmensdaten zu gewährleisten. „Die Krise ist noch nicht vorbei, die Fallzahlen steigen wieder und Homeoffice und Teleworking werden Teil unseres Arbeitsalltags bleiben. Die Arbeitswelt ändert sich und muss jetzt auch aus der IT-Sicherheitsbetrachtung nachhaltig angepasst werden, organisatorisch, technisch und unter besonderer Berücksichtigung des Faktors Mensch.“
„Es fehlt an Basisverständnis und geschultem Personal.“
Andreas Köberl
TÜV Trust IT TÜV Austria GmbH
BILD: SN/ANDREAS AMSÜSS